Entender os vSphere Trust Authority fluxos de processo é essencial para aprender como configurar e administrar sua Infraestrutura Confiável.
Habilitando vSphere Trust Authority
vSphere Trust Authority não está habilitado por padrão. Você deve configurar manualmente o vSphere Trust Authority no seu ambiente. Consulte o Configurando o vSphere Trust Authority.
Ao ativar o vSphere Trust Authority, você deve especificar quais versões do software do ESXi o Serviço de Atestado aceita e também quais Módulos de Plataforma Confiáveis (TPMs) são confiáveis.
TPM e atestado
Este guia usa as seguintes definições ao discutir TPMs e atestados.
Termo | Definição |
---|---|
Chave de endosso (EK) | Um TPM é fabricado com um par de chaves pública / privada RSA integrado ao hardware, chamado de chave de endosso (EK). O EK é exclusivo para um TPM específico. |
Chave pública EK | A parte pública do par de chaves EK. |
Chave privada EK | A parte privada do par de chaves EK. |
Certificado EK | A chave pública EK encapsulada com uma assinatura. O certificado EK é criado pelo fabricante do TPM que usa sua chave privada de Autoridade de Certificação para assinar a chave pública EK. Nem todos os TPMs contêm um certificado EK. Nesse caso, a chave pública EK não está assinada. |
Atestado TPM | A capacidade do Serviço de Atestado de verificar o software que está sendo executado em um host remoto. O atestado TPM é realizado por meio de medições criptográficas feitas pelo TPM enquanto o host remoto é iniciado e é retransmitido para o Serviço de Atestado mediante solicitação. O serviço de atestado estabelece confiança no TPM por meio da chave pública EK ou do certificado EK. |
Configurando a confiança do TPM nos hosts confiáveis
Um host confiável do ESXi deve conter um TPM. Um TPM é fabricado com um par de chaves pública / privada integrado ao hardware, chamado de chave de endosso (EK). Embora o TPM 2.0 permita muitos pares de chave / certificado, o mais comum é um par de chaves RSA-2048. Quando uma chave pública EK do TPM é assinada por uma autoridade de certificação, o resultado é o certificado EK. O fabricante do TPM normalmente gera previamente pelo menos um EK, assina a chave pública com uma Autoridade de Certificação e incorpora o certificado assinado na memória não volátil do TPM.
Você pode configurar o Serviço de Atestado para confiar nos TPMs da seguinte maneira:
- Confie em todos os certificados de autoridade de certificação com os quais o fabricante assinou o TPM (a chave pública EK). A configuração padrão do Serviço de Atestado é confiar em certificados de autoridade de certificação. Nessa abordagem, o mesmo certificado de autoridade de certificação abrange muitos hosts ESXi e, portanto, reduz a sobrecarga administrativa.
- Confie no certificado de CA TPM e na chave pública EK do host do ESXi. O último pode ser o certificado EK ou a chave pública EK. Embora essa abordagem forneça mais segurança, ela requer que você configure informações sobre cada host confiável.
- Alguns TPMs não contêm um certificado EK. Nesse caso, você confia na chave pública EK.
Decidir confiar em todos os certificados de CA do TPM é operacionalmente conveniente. Você configura novos certificados somente quando adiciona uma nova classe de hardware ao seu centro de dados. Ao confiar em certificados EK individuais, você pode limitar o acesso a hosts ESXi específicos.
Você também pode decidir não confiar em certificados de CA do TPM. Embora seja uma situação incomum, você pode usar essa configuração quando um EK não está assinado por uma autoridade de certificação. Atualmente, essa funcionalidade não está totalmente implementada.
Atestando TPMs
Para iniciar o processo de atestado, o ESXi Host Confiável no Cluster Confiável envia a chave pública EK pré-configurada e o certificado EK para o Serviço de Atestado no Cluster de Autoridade de Confiança. Quando o serviço de atestado recebe a solicitação, ele procura o EK em sua configuração, que pode ser a chave pública EK ou o certificado EK, ou ambos, dependendo da configuração. Se nenhum caso for válido, o serviço de atestado rejeitará a solicitação de atestado.
O EK não é usado diretamente para assinatura, portanto, uma Chave de Atestado (AK ou AIK) é negociada. O protocolo de negociação garante que uma AK recém-criada seja vinculada ao EK verificado anteriormente, evitando uma situação de intermediário ou um imitador. Depois que uma CA é negociada, ela é reutilizada em solicitações de atestado futuras, em vez de gerar uma nova a cada vez.
O Host Confiável ESXi lê os valores de Citação e RCP do TPM. A Citação é assinada pelo AK. O host confiável do ESXi também lê o log de eventos do TCG, que inclui todos os eventos que resultaram no estado atual de PCR. Essas informações de TPM são enviadas ao Serviço de Atestado para validação. O serviço de atestado verifica os valores de PCR usando o log de eventos.
Provedores de chave e servidores de chave
O Serviço do Provedor de Chave usa o conceito de um provedor de chave confiável para ocultar as especificações do servidor de chave do restante do software do centro de dados. Cada provedor de chave confiável tem uma única chave de criptografia primária configurada (anteriormente chamada de chave de criptografia mestre) e faz referência a um ou mais servidores de chaves. A chave de criptografia primária está presente nos servidores de chaves. Como parte da configuração do vSphere Trust Authority, você deve provisionar a chave primária (anteriormente chamada de chave mestre) como uma atividade separada e ativá-la. O serviço do provedor de chave pode ter vários provedores de chaves confiáveis configurados. Cada provedor de chave confiável usa uma chave primária diferente, mas pode fazer referência ao mesmo servidor de chave de suporte.
Quando um novo provedor de chaves confiáveis é adicionado, o administrador do Trust Authority deve especificar o servidor de chaves e um identificador de chave existente nesse servidor de chaves.
A figura a seguir mostra a relação entre o serviço do provedor de chaves e os servidores de chaves.
O Serviço do Provedor de Chaves usa a chave primária referenciada pelo key-provider-2 para criptografar os dados de texto sem formatação especificados e retornar o texto cifrado correspondente. Mais tarde, o Host Confiável pode fornecer o mesmo texto cifrado para uma operação de descriptografia e recuperar o texto sem formatação original.
Autenticação e autorização
As operações administrativas do vSphere Trust Authority exigem um usuário que seja membro do grupo TrustedAdmins. Ter apenas privilégios de administrador do Trust Authority não é suficiente para executar todas as operações administrativas que envolvem os hosts do ESXi. Para obter mais informações, consulte Pré-requisitos e privilégios necessários para vSphere Trust Authority.
Adicionando um host confiável a um cluster confiável
As etapas para adicionar hosts ESXi inicialmente ao cluster confiável são descritas em Configurando o vSphere Trust Authority.
Mais tarde, se você quiser adicionar hosts ESXi ao cluster confiável, o fluxo de trabalho será diferente. Consulte o Adicionando e removendo vSphere Trust Authority hosts.
Ao adicionar inicialmente hosts ESXi ao cluster confiável, você deve coletar as seguintes informações:
- Certificado TPM para cada tipo de hardware no cluster
- Imagem de ESXi para cada versão de ESXi no cluster
- vCenter Server informações principais
Se você adicionar hosts ESXi posteriormente a um cluster confiável, talvez seja necessário coletar algumas informações adicionais. Ou seja, se os novos hosts ESXi diferirem no hardware ou na versão ESXi dos hosts originais, você deverá coletar as novas informações do host ESXi e importá-las para o Trust Authority Cluster. Você só deve coletar as informações principais de vCenter Server uma vez por sistema de vCenter Server.